Comments 12
Или я что то не понял, или у вас решение зачем просто, если можно сложно?
Зачем делать не экспортируемые ЭП и потом возиться с их переносом через реестр?
Вводные: Работаем с КриптоПро. Считаем что КриптоПро уже установлен.
Контейнер с ЭП доступен для КриптоПро. Сертификат и закрытый ключ находиться в контейнере.
Токен, папка с контейнером в директория пятого КритоПро, папка с контейнером в корне диска.
Честно скажу, очень давно, лет пять назад, пробовал вариант переноса через реестр, но на третьем КриптоПро не было проблем с сидами. Экспорт ветки реестра, импорт и ручками через КриптоПро установка сертификата. Думаю КриптоПро всё едино, как контейнер с ЭП попал в учетную запись пользователя. Главное что он доступен.
Да, всё хочу попробовать в пятом КриптоПро создать не экспортируемую ЭП в контейнере который разместить в директории КриптоПро. А потом скопировать папку в другое место. Предполагаю, будет работать.
Итак у нас остаётся одна задача. Установить сертификат ЭП в личное хранилище сертификатов пользователя.
Копирование сертификата ЭП к текущей записи пользователя виндовс делается одной строкой через сertmgr из комплекта КриптоПро. К сожалению нет под рукой точной строки, делал это пол года назад и подзабыл какие там точно там ключи. Кажется сertmgr -install
Контейнер с ЭП может находиться на токене, в реестре, в корне диска.
сertmgr находит ВСЕ доступные пользователю ЭП и устанавливает ВСЕ сертификаты в хранилище пользователя. И эти сертификаты становятся доступны для ВСЕХ программ.
На этом собственно всё. Дальше уже подгоняем под свои условия.
Запускаем поиск и установку сертификата руками пользователя.
"У вас новая ЭП? Подключите токен и два раза кликните мышкой (раз-раз) по ярлыку на рабочем столе с названием "Регистрация ЭП", да, это делать надо один раз, да на каждом новом рабочем месте, и т.д. и т.п.".
У пользователя возникает черное окошко на котором в конце появляться зелёная надпись "Электронная Подпись установлена". Пользователь доволен, он проконтролировал процесс установки ЭП на рабочее место. Он видел зеленую надпись. Значит всё в порядке.
Не хочется доверять пользователю такой важный процесс? Тогда GPO. И настраивать под себя.
В конце еще раз спрошу. Зачем делать не экспортируемые ЭП и преодолевать возникающие из за этого проблемы если вы по факту используете экспортируемые ЭП?
Смотрите. Подписи, о которых идет в статье речь, это подпись ИФНС. Они считаются неэкспортируемыми. При помощи утилиты можно обойти этот запрет и получить экспорт данного ключа. Далее, для того чтобы его использовать, необходимо через внешний носитель, либо через subst установить и связать сертификаты в КриптоПро. Если этого не сделать, то часть систем не увидят сертификат. Скажу что помню - в контур при такой установки через certmgr можно зайти, а сбис сертификат не увидит.
Возможно есть действительно более простой и лаконичный способ, но те методы которые я пробовал так и не принесли успеха. Тем более что упор был именно на распространение через группы и GPO.
А чем не устраивает использование неэкспортируемого ключа на смарт-карте (на отчуждаемом носителе), как это изначально задумано? В таком случае работает служба Certificate propagation service в связке с криптопро и при подключении смарт-карты сертификат автоматически добавляется в хранилище.
Необходимо использовать ЭЦП одновременно в территориально разнесенных точках. Физически невозможно это реализовать.
Имеется ввиду передача ЭП одного сотрудника (или даже ген. директора) другим лицам в разных филиалах? Ну, такое себе решение.
Мы в подобных случаях делаем что-то вроде терминального сервера с доступом к ресурсам, где требуется подпись и на этом сервере/vdi устанавливаем ключ подписи.
Еще более лучшим решением является использование HSM. Но это дорого для небольших организаций.
По поводу терминального сервера. Необходимо предоставить одномоментный доступ к подписи большому количеству сотрудников. Физически подпись им не передается. Она хранится в реестре. Конечно при желании ее можно вытащить и при некоторых манипуляциях использовать на других ПК. Это тоже самое как если бы передать им физический токен. В статье акцент больше на автоматизацию предоставления доступа к ЭЦП через групповые политики. По поводу безопасности использования данного метода я предупредил в статье.
В целом интересная задача. Не сталкиваюсь по работе с ЭП от ИФНС.
Налоговая выпускают ключи не только для руководителя учреждения (организации)? Или вы копируете ключ руководителя на десяток рабочих мест?
На вскидку, думаю что правильнее выпускать ключи на сотрудников через казначейство и прикладывать к ним МЧД.
Токен с ЭП от налоговой положить в сейф и доставать только для выпуска МЧД.
Выпустить через казначейство экспортируемую ЭП на руководителя юр. лица и горя не знать?
По поводу СБИС, знаю, что они периодически пытаются заставить пользователей купить у них КриптоПро. Система пишет, что подписи нет и предлагает купить КриптоПро. Замечал такое на пятой версии КриптоПро.
С Контуром, ГосУслугами и т.п. сервисами в соседних вкладках работает эта же подпись отлично.
Мы пытались внедрить ключи на сотрудников через доверенности. Столкнулись с двумя проблемами. Первая и решаемая - количество сотрудников которым нужна подпись равнялось около 50, и на каждого примерно по 5-10 ЮЛ. Плюс большая текучка - довольно сложно поддерживать все это в актуальном состоянии и своевременно выпускать. А вторая причина практически нерешаемвая - часть сервисов работает только с подписью ГД. Обойти это нереально. Поэтому уповаем на то, что в ближайшем будущем механизм экспорта неэкспортируемых ключей не прикроется.
Разве ЭП руководителя, выпущенная через казначейство будет иметь ту же силу, что и ЭП выпущенная через ИФН?. ЕМНИП у руководителя в момент времени может существовать только одна подпись.
И да, я уже неоднократно сталкиваюсь с тем, что без подписи ГД нельзя выполнить какие то процедуры. А в некоторых случаях и без ГУ ГД также не обойтись.
А у меня со СБИСом была обратная ситуация, точнее с менеджером, запросил ЭЦП в прошлом году с лицензией (чтоб не покупать лицензию за 70К на терминал), а менеджер и говорит, что ФНС выпускает бесплатно со встроенной лицензией.
неплохо, тут есть куда еще развивать эту выдачу? Может с безопасностью поработать?
Автоматическая выдача сертификатов пользователям через GPO